AJAX登录调用中的Javascript哈希，提高了安全性吗？

实际上，这可能是一个重大的安全问题。密码被哈希的原因是为了应对失败。攻击者可能会获取数据存储（SQL注入），然后获得哈希值。如果您仅使用哈希值登录，则攻击者无需破解恢复的哈希值即可访问应用程序。
“重放攻击”也是一个问题。如果在验证期间嗅探哈希值，那么有什么阻止我重放那个请求进行身份验证？
采用消息摘要函数进行身份验证的协议会向客户端提供nonce，用作一次性盐。Microsoft的SMB NTLM身份验证就是一个很好的例子，但它已经遇到了很多问题。
使用SSL，不仅仅是用于登录。OWASP A9指出，会话ID不能通过不安全的通道泄露。毕竟，如果几毫秒后就泄露了真实的身份验证凭据，谁还关心密码呢？

大多数人在登录时不实现CSRF保护。毕竟，攻击者首先必须知道密码，因此“会话劫持”是无意义的。

稍微离题一下，回答问题3，不行！还要记住，AJAX和标准表单同样不安全。
实现安全认证很难。除非你是在进行学术练习，否则我强烈建议使用框架提供的库，如果你足够幸运拥有一个好的框架。
你还需要考虑以下事项，以及更多。

• 为会话cookie实现一个适当的随机且不可猜测的会话ID。
• 不允许强制使用会话ID。
• 当权限或凭据发生更改（例如，因为用户已登录或注销）时，立即使会话无效并开始一个新的会话。
• 提供注销功能，并确保在注销时使会话无效。
• 将cookie设置为HttpOnly-最好要求HTTPS，并仅将cookie设置为安全的。
• 考虑限制会话有效性以包括检查一些其他信息，以帮助匹配用户，例如用户代理。
• 始终在非使用后过期会话，并且不要通过重新连接用户到其旧的http会话来实现“保持登录状态”。
• 确保2个会话不能同时具有相同的会话ID
• 确保在会话无效时销毁所有会话数据。新用户可能会被分配先前使用过的会话ID。这个新会话不能访问已经针对该会话ID设置的任何会话数据。

如果攻击者知道你使用的哈希算法，那么他们可以破解它。如果你想添加盐，则必须将其发送到浏览器，攻击者可能会拦截它。使用时间作为盐也行不通，因为时间相对较短，所以他们也可以解决这个问题。